Punto informatico Network

Contenuto Default

Bollettino Microsoft - Luglio 2008

09/07/2008
- A cura di
Zane.
Archivio - SQL Server, Windows Explorer, DNS Client e Server, Outlook Web Access. Quattro distinti aggiornamenti di sicurezza interessano altrettanti prodotti Microsoft.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

  •  
Voto complessivo 5 calcolato su 220 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Sono in totale quattro gli aggiornamenti di sicurezza proposti da Microsoft per il mese di luglio. In tutti i casi, si tratta di update classificati da Microsoft come "Important", penultima tacca sulla scala di massima pericolosità proposta dal gruppo. Red_shield_security_disabled.png

Sebbene l'attribuzione del livello sia congrua con le linee guida, è bene non sottovalutare i problemi risolti da questi aggiornamenti: il rischio che, in determinate situazioni, possano essere sfruttate per portare attacchi concreti è tutt'altro che remoto.

Ecco i dettagli.

Vulnerabilities in Microsoft SQL Server... (MS08-040)

La prima patch del mese corregge quattro diverse vulnerabilità rilevate nel database relazionale Microsoft (in tutte le versioni attualmente in circolazione).

La prima, potrebbe consentire di estrapolare dati dal database bypassando i vincoli di sicurezza.

La seconda e la terza potrebbero consentire invece ad un utente dotato di credenziali valide per un l'accesso limitato a SQL Server o a Windows di elevare i propri privilegi fino a guadagnare accesso come amministratore, e quindi pieno controllo del PC.

La quarta debolezza potrebbe consentire infine di eseguire codice sul server bersaglio.

Da notare che, per poter tentare di sfruttare questi problemi, l'aggressore dovrebbe essere già dotato di credenziali valide per accedere al database o a Windows. Di contro, sebbene il bollettino Microsoft non ne faccia menzione, potrebbe essere possibile sfruttare almeno due dei quattro problemi anche attraverso una web application che si appoggiasse SQL Server come backend.

Raccomando quindi di installare questa patch alla prima occasione utile.

>> Bollettino Microsoft e download

Vulnerability in Windows Explorer... (MS08-038)

Il secondo aggiornamento proposto da Microsoft questo mese interessa unicamente gli utenti di Windows Vista e, per certi versi, Windows Server 2008.

Un problema nel modo con cui il sistema operativo gestisce le ricerche salvate (funzionalità di cui ho discusso qui) potrebbe consentire ad un cracker di confezionare un file .search-ms che, una volta aperto su un sistema non debitamente aggiornato con questa patch, potrebbe causare la temutissima esecuzione di codice da remoto, e con essa, il pieno accesso da remoto al PC aggredito.

Microsoft precisa comunque che il problema non può essere sfruttato in automatico: l'utente dovrà essere persuaso ad aprire manualmente il file malevolo.

Il problema ci ricorda che sono ben lontani i tempi in cui solo gli eseguibili potevano essere fonte di problemi. La complessità dei sistemi informatici moderni fa si che qualsiasi tipo di file, anche un normale documento, possa essere sfruttato per tentare un attacco.

Anche in questo caso l'aggiornamento è consigliato. Ancor meglio comunque, è mantenere alto il livello di diffidenza verso qualsiasi file proveniente Rete.

>> Bollettino Microsoft e download

Vulnerabilities in DNS... (MS08-037)

Questo aggiornamento potrebbe bloccare completamente l'accesso ad Internet, se installato su un sistema dotato di un prodotto ZoneAlarm. Maggiori informazioni sono qui.

Sia gli utenti di sistemi Windows 2000 e Windows XP, sia gli amministratori di un server DNS basato su Windows Server 2003 o Windows Server 2008 sono interessati dal terzo aggiornamento del mese.

Un problema nel modo con cui i servizi DNS client e DNS server gestiscono le richieste di risoluzione di un nome a dominio nell'equivalente indirizzo IP potrebbe essere sfruttato da un cracker per generare false interrogazioni rivolte alla propria vittima, ed allo stesso tempo inviare risposte in grado di far leva sul problema per inserire record di risoluzione malevoli, di fatto indirizzando l'utente su un server sotto il proprio controllo in modo praticamente impossibile da rilevare per l'utente. I risultati potrebbero essere burle e atti vandalici come questo, ma anche truffe e furti di dati personali.

>> Bollettino Microsoft e download

Vulnerabilities in Outlook Web Access for Exchange Server... (MS08-039)

Due problemi di Cross-site scripting (XSS) sono stati rintracciati in Outlook Web Access (OWA) per Microsoft Exchange Server.

Sfruttando tali bachi, un cracker potrebbe confezionare una e-mail contente uno script e quindi inviarla all'indirizzo della propria vittima.

Una volta che l'utente visualizzasse il messaggio mediante l'interfaccia web offerta da Exchange, lo script allegato sarebbe in grado di eseguire azioni con gli stessi privilegi dell'utente, quali "visualizzare, inviare o cancellare e-mail" dell'account corrente. Da notare comunque che, poiché mediante Outlook Web Access è possibile interagire anche con altri elementi di Outlook, quali Attività e Calendario, potrebbe essere possibile confezionare lo script per interagire in modo inatteso anche con tali elementi.

Gli amministratori di sistema che fornissero accesso ai propri utenti mediante OWA, farebbero quindi meglio ad installare l'aggiornamento al più presto.

>> Bollettino Microsoft e download

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.29 sec.
    •  | Utenti conn.: 130
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.12